Возникают ситуации, когда из разных сетей офиса нужно направлять трафик по разным маршрутам. Приведу пример:
Есть 2 компании (или 2 отдела одной компании, кому как больше нравится) которым нужно выходить в интернет, через разных операторов, при этом находясь за одним фаерволом.
У компании «Flower inc.» сеть 192.168.0.0/24
У компании «Duck inc.» сеть 192.168.2.0/24
Считаем, что у нас в таблице маршрутизации маршрут по умолчанию в сеть 0.0.0.0/0 изначально прописан через ISP-1:
admin@FW0# show routing-options static route 0.0.0.0/0 next-hop 1.1.1.1;
Но «Duck inc.» должна попадать в интернет через ISP-2.
Задача решается с помощью routing-instance, итак:
- Первым делом создаем routing-instance c именем, к примеру «NEW-ROUTER» и прописываем в нем статический маршрут в сеть 0.0.0.0/0 через маршрутизатор ISP-2:
admin@FW0# set routing-instances NEW-ROUTER instance-type forwarding admin@FW0# set routing-instances NEW-ROUTER routing-options static route 0.0.0.0/0 next-hop 2.2.2.2
- Для импорта directly connected маршрутов в новый routing instance в ветке routing-options нам нужно указать, что у нас используется не только основная таблица маршрутизации но и routing-instance:
admin@FW0# set routing-options interface-routes rib-group inet NEW-ROUTER admin@FW0# set routing-options rib-groups NEW-ROUTER import-rib inet.0 admin@FW0# set routing-options rib-groups NEW-ROUTER import-rib NEW-ROUTER.inet.0
- После этого ,создаем правило фильтрации по адресу источника (адресу клиентской сети «Duck inc.»):
admin@FW0# set firewall family inet filter FILTERNAME term 0 from source-address 192.168.2.0/24 admin@FW0# set firewall family inet filter FILTERNAME term 0 then routing-instance NEW-ROUTER admin@FW0# set firewall family inet filter FILTERNAME term 1 then accept
Примечание: Не забываем в конце сделать правило «then accept», как в примере, что бы фаервол пропустил дальше трафик, который не попал под условия правила.
- Теперь все готово, и осталось повесить фильтр на интерфейс, который смотрит в сторону «Duck inc.»:
admin@FW0# set interfaces ge-0/0/2 unit 0 family inet filter input FILTERNAME
После применения конфигурации (commit) трафик из сети 192.168.2.0/24 в интернет пойдет через ISP-2.
Вот ссылка на статью в kb Juniper где разбирается аналогичная ситуация.
Ссылка на статью в kb Juniper, где разбирается не точно такая же но похожая ситуация, Filter Based Forwarding. Мне на практике пригодилась, когда после настройки балансировки нагрузки между двумя операторами связи появилась проблема, с тем что сеть, которая анонсировалась оператором связи за мой SRX стала не доступна, а вернее частично то доступна то нет, в зависимости от того на какого оператора на текущий момент балансировщик направлял трафик.
Добрый день а подскажите как правильно сделать
у меня есть динамически создаваемые интерфейсы с subscribers
они все по умолчанию попадают в таблицу inet.0
а весь трафик идет через BGP в таблице bgpnet.0
как мне завернуть весь трафик от автосоздаваемых интерфейсов в таблицу bgpnet.0